Instalar un controlador de dominio en Windows Server 2008 R2


Instalando un controlador de dominio Windows 2008 R2

Bueno realmente el tema de este post no deberia ser “Instalando un controlador de dominio windows 2008 r2”  deberia ser “Promoviendo un servidor windows server 2008 r2 a controlador de dominio” sin embargo para los que inician sus pasos en AD el titulo original del post puede resultarles mas amigable, antes de iniciar con el proceso de configuracion les voy a definir algunos conceptos necesarios:

¿Qué es un dominio?

Es un conjunto de normas  que administran los recursos y los clientes en una red local.
En un dominio hay lo que se llama un servidor principal llamado PDC (primary domain controller) que es quien asigna derechos controla usuarios y recursos.
Dado que este servidor puede recibir muchas peticiones de red por parte de los clientes, es posible instalar un servidor de réplica llamado   (RODC) Read-Only Domain Controller que contiene siempre una réplica de la base de datos del PDC y actúa como PDC en cuanto a peticiones de clientes.
Además en caso de fallo del PDC, él se sitúa en el dominio como PDC.
En caso de haber varios RODC, uno de ellos se coloca como PDC y los demás se dedican a respaldar a ese.

¿Que es un arbol?
Es un conjunto de dominios con relaciones de confianza entre sí que comparten recursos, clientes y un sistema de resolución de nombres (DNS)

¿Qué es un bosque?
Es un conjunto de árboles de dominio con relaciones de confianza entre sí, el bosque puede tener una gran cantidad de arboles de dominio, una organizacion puede tener muchos bosques…

¿Por qué es tan importante active directory?
Active Directory permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera. Un Active Directory almacena información de una organización en una base de datos central, organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos para una red pequeña hasta directorios con millones de objetos.

Estos son solo algunos conceptos basicos de AD, sin embargo hay muchos mas que necesitan conocerse AD es como un universo de tecnologia…

Dicho esto vamos a proceder a ver el proceso de creacion de un Dominio de Active Directory, estoy asumiendo que el servidor ya esta instalado al 100% con el sistema operativo, parches y actualizaciones de seguridad.

– Lo primero que debemos verificar es que el server tenga el nombre correcto de acuerdo a la nomenclatura de nombres que vamos a manejar, esto es muy importante.

– Parte vital de la configuracion de un controlador de dominio (por no decir que sin esto no se puede hacer la configuracion) es la configuracion IP que debera tener el server, lo recomendable es que tengan tablas de organizacion de sus redes, en las cuales especifiquen los rangos para cada dispositivo que utilicen, Servers, Impresoras, Users, Routers.. etc

En este caso estamos utilizando una red de clase C

– Luego vamos a proceder a agregar un Rol, el server manager es ahora la utilidad que nos permitira hacer esto, el Rol que vamos a agregar es “Directory Services”

– Debemos entonces seleccionar la opcion “agregar roles” y nos aparecera el siguiente asistente:

– Vamos a seleccionar “Next” para continuar con la instalacion

– Vamos a seleccionar la opcion “Active Directory Domain Services” y vamos a seleccionar “Next” para continuar

– Se nos mostrara una pantalla en donde se nos explica algunos de los procesos que estaremos realizando

– NET Framework 3.5 o superior se instalara antes de proceder a configurar el Rol

– Recibimos el sumario de instalacion en el cual se muestra que active directory domain services finalizo la instalacion correctamente

– Cuando accesamos al server manager, se nos mostrara una alerta ” es necesario promover el servidor a controlador de dominio con dcpromo) bastaria con que hicieramos click en la parte que aparece vinculada, otra forma es ir a ejecutar y digitar “dcpromo” enter

– Ahora es cuando empezamos a promover el servidor a controlador de dominio, hacemos click en “Next” para continuar la configuracion.

– Nos aparecera un anuncio que nos indica algunas cosas sobre compatibilidad que deberiamos saber al promover un controlador de dominio con esquema de windows server 2008 R2, hacemos click en Next para continuar.

– Como lo que vamos a hacer es un  nuevo controlador de dominio en un nuevo bosque, seleccionamos la opcion ” Create a new domain in a new forest” y hacemos click en “Next” para continuar

– Debemos especificar el nombre Netbios o FQDN de nuestro dominio (Full Quality Domain Name”) hacemos click en “Next”

– Seleccionamos el nivel de funcionalidad del dominio en este caso Windows Server 2008 R2

– Recordemos que lo recomendado es integrar una zona DNS con AD, por lo cual seleccionaremos la opcion y damos click en “Next” para continuar…

– Seleccionamos la ubicacion de los componentes de la base de datos de AD, hacemos click en “Next”

– debemos colocar un password para iniciar recuperacion de AD en caso de desastre (Disaster Recovery)

– Se iniciara el proceso de instalacion y configuracion de componentes de AD

– Finalmente nos aparecera un sumario que nos indica que toda la configuracion se realizo correctamente, normalmente cuando es un nuevo forest y un nuevo dominio no hay mayor complicacion, muchas veces los problemas se presentan a la hora de migrar un forest 2003 R2 hacia 2008 R2, para lo cual se sugiere una prueba de concepto, en todo caso lo mejor que se puede hacer es virtualizar en un entorno aislado los servidores de produccion de AD es decir convertirlos de fisicos a virtuales y hacer todas las pruebas respectivas y minimizar las fallas que se podrian ocaciones, este proceso siempre tiene troubleshooting….

– Ahora analizamos otro detalle, aunque la promocion del controlador de dominio fue satisfactoria notamos algo interesante, al utilizar la herramienta nslookup para comprobar la resolucion DNS en el dominio nos damos cuenta que no tenemos resolucion inversa del dominio, vamos a explicarlo un poco mejor: DNS significa Domain Name System lo que nos permite traducir una direccion IP en nombre, la resolucion inversa como su nombre lo dice nos permite traducir un nombre en direccion IP, en algunas casos estas configuraciones son requeridas por algunas aplicaciones, por lo cual si promovemos un controlador de dominio la resolucion inversa deberia quedar funcionando perfectamente bien, veamos como configurar una zona inverda DNS

– Abrimos el panel de DNS , vamos a la opcion Reverse Lookup Zones y seleccionamos la opcion “Add a New Zone”

– Hacemos un click en “Next” para iniciar la configuracion

– Seleccionarmos crear una zona primaria…

– Seria para todos los DNS corriendo en el forest… hacemos click en “Next”

– Seleccionarmos una IPv4 Reverse Zone

– La zona inversa debe identificar los 3 primeros octetos del controlador de dominio, por lo cual se los colocamos y hacemos click en “Next”

– Debemos otorgar actualizaciones seguras y no seguras, sin embargo depende de como lo manejen en cuanto a normas o politicas de seguridad, hacemos click en “Next”

– Asi es como hemos creado ya nuestra zona inversa, sin embargo falta crear un registro PTR

PTR: Proveniente de ‘Point Récords’ éste registro es como un CNAME ya que es capaz de
contener un nombre de dominio, pero, realmente no son iguales, un CNAME se refiere a un alias, pero un PTR, como su nombre indica especifica a un punto, es decir, otra dirección.

– Para crear el PTR seleccionamos la zona inversa…

– Hacemos un click con el boton derecho y seleccionamos ” New Pointer”

– Colocamos la IP y el nombre del Host

– Despues de lo cual probamos el nslookup y ahora el resultado nos dara:

Finalmente ya tenemos configurado un nuevo Dominio en un nuevo Forest, en otros post analizaremos la creacion de GPO y seguridad que podemos integrar a nuestro controlador de dominio….

 

13 responses to “Instalar un controlador de dominio en Windows Server 2008 R2”

  1. Myon Kihar says :

    Muy buen tuto. Me ha sido de gran ayuda

  2. Oswaldo says :

    fue de gran ayuda Exelente !!1

  3. Wilbert Fontana Mora says :

    Hola, quisiera que me ayudes con un problema de la configuracion de una pequeña red que estoy creando.

    Recién he instalado la plataforma Windows Server 2008 R2 Standard Ed. y sus roles de servidor DNS integrado a los servicios de directorio activo.
    Tengo IPCOP como cortafuegos en otra máquina y activado el servicio de dhcp y proxy en él. Hay tres NIC en IPCOP (green o lan, red o wan y orange o dmz), cada una cinfigurada con su ip pertinente en la misma máscara de subred, con excepción de la nic red, que posee una ip, dns primario y sec, así como la puerta de enlace todos proporcionados por el ISP. La conexión a internet normalmente la obtengo vía fibra óptica de mi proveedor de servicio y un transceiver hace la conversión a ethernet cuyo cable esta conectado a la nic red de ipcop.

    Según las pruebas de conectividad que hace el troubleshooter de Windows Server, el servidor dns “puede que esté teniendo problemas con la resolución de nombres de dominio”. Las zonas de búsqueda directa e inversa están creadas. He revisado la conectividad entre el servidor de dominio y el cortafuegos (ping a las tres ip de las nic de IPCOP) y hay conectividad entre ellos, de igual forma, desde la consola del cortafuegos, también el ping responde positivamente.
    El nslookup en windows responde afirmativamente mostrando el servidor predeterminado y la ip de su referencia, es decir, bien. El icono de la barra de tarreas posee el triangulo amarillo con el mensaje “acceso a red de dominio, sin acceso a internet”. En una máquina cliente verifiqué el servicio dhcp y ésta obtiene ip de parte del cortafuegos, está funcionando, pero no hay acceso a internet.

    No entiendo que pasa con el servidor dns, si alguien tiene alguna pista para encontrar la solución a este problema, de verdad y desde ya se lo agradezco.

    Gracias de antemano por la ayuda que me puedan brindar.

    • A - BAT says :

      Hola Willbert, sinceramente no creo que el DNS sea el problema en este caso ya que segun me comentas la resolucion DNS no te arroja problemas entiendo que el Firewall Linux que tienes te da servicio de proxy y DHCP, preliminarmente has hecho un tracert desde el controlador de dominio hacia el IPCOP? cual es el resultado del tracert? comentame lo que encuentres, espero escribirte al final del dia ya que estoy en implementacion de unos RODC de windows server 2008 R2..

  4. A - BAT says :

    Adicionalmente verifica que los puertos entrantes TCP/53 y UDP/53, y salientes: TCP/1024-65535 y UDP/1024-65535 tengan trafico permitido en el IPCOP…

  5. Wilbert Fontana Mora says :

    Gracias por responder A-BAT,

    mira, he revisado nuevamente, y he confirmado que todo está con el dns. Lo resuelto reconfigurando las NIC’s de IPCOP. Extraño, porque lo único a hacer fue volver a dejarlas como las tenía.

    Nuevamente gracias.

    Sin embargo aprovecho tu sincera disponibilidad para ayudarme para planterate otro caso con IPCOP.

    El asunto es el siguiente:

    he decidido a publicar un servicio web en ORANGE (dmz). Para ello utilizo una aplicacion que maneja una base de datos a la que cada usuario accede via web (sea lan o WAN). Esta aplicación se divide en tres módulos: un módulo “servidor” que se encarga de poner en servicio la base de datos a los otros módulos, un segundo módulo “cliente” que se utiliza para hacer modificaciones a la base de datos (CONEXIÓN DIRECTA A LA ASE DE DATOS) y un tercer módulo “.net” que se encarga de publicar (PUERTO 80 POR DEFECTO) la base de datos en la web con su interfaz respectiva para permitir el acceso a los usuarios desde el exterior de la red. Antes tenía instalado los tres módulos en una misma máquina (no recomendado), en tres particiones diferentes. Ahora que he adquirido un microservidor para web, necesito utilizar un cuarto módulo llamado “relevo”, cuya función es la de ser instalado en la dmz y repetir la base de datos hecha accesible por el módulo servidor, esto como una medida de seguridad para que encaso que alguien, con malicia, dañe la base de datos, quie sufra daño sea la del relevo y no la original del módulo servidor.

    El asunto que se me complica es que no logro hacer comunicar el “relevo” que está en dmz con el “servidor” que está en “green”. El módulo servidor escucha por los puertos udp 55000 y tcp 49300. ¿Qué servicios y reglas de cortafuego debo crear para lograr hacer que el módulo servidor “escuche” a “relevo” y poder publicar el servicio web?

    Gracias nuevamente.

  6. A - BAT says :

    Hola Wilberth, ya veo.. has montado una red con seguridad perimetral base Linux asi mismo me parece que has ideado un buen metodo para proteger la base de datos haciendo una replica en la DMZ, sin embargo te comento que lastimosamente no he tenido la oportunidad de trabajar con diseños de seguridad perimetral mediante plataformas Linux como IPCOP, en su mayoria he trabajado con ISA Server y Microsoft Forefront Threat Management Gateway que es praticamente la nueva plataforma de microsoft, hace algunos años trabaje en un proyecto que planteaba la instalacion de un firewall basado en IP Tables llamado APF lo cual fue una excelente experiencia, creo que yo soy lo que algunos podrian llamar “Microsofiano”😉 sin embargo soy fiel estudiante de las diferentes distribuciones de Linux…

  7. Daniel says :

    Excelente post !!!!

  8. Julio Acosta says :

    Muy buen aporte muchachos! me hacia falta repasar algunos conceptos aqui mencionados…saludos!

  9. XaviTux says :

    Hola

    Tengo un servidor win server 2012 en los cuales tengo instalado DHCP, DNS y DA DC. La cuestión es esta; No tiene salida a internet pero si se hace ping http://www.xxxx cualquier pagina, si logro salir. Pero al navegar no me carga las paginas (no manejo proxy).

    Las computadoras que tengo conectas a la misma red si pueden navegar pero apuntando al router.

    Les dejo algunas configuraciones:

    servidor:
    ip: 192.168.1.1
    mascara: 255.255.255.0
    puerta de enlace: 192.168.1.3 <<<router vpn Linksys
    dns: 192.168.1.1

    pc con salida a internet:
    ip: 192.168.1.155
    mascara: 255.255.255.0
    puerta de enlace: 192.168.1.3 <<<router vpn Linksys
    dns: 192.168.1.3 <<< si toma el dns de mi servidor no sale a internet

    Espero y puedan apoyarme

  10. A - BAT says :

    Hola Xavi, Gracias por escribir en mi Blog… y las diculpas del caso por contestar hasta ahora ok… habia estado viendo un proyecto que me ha quitado mucho tiempo ultimamente😉 , pues bien pasando a lo que me preguntas ya di un vistazo a la configuracion IP y de servicios de red que has configurado en el server, y bueno te comento que estoy casi seguro que el problema que tienes es por la funcion: Internet Explorer Enhanced Security Configuration , y es lo que no te permite navegar con el web browser a pesar de que como tu mencionas cuando haces un Ping a una url de internet llegas hasta el destino… lo que tienes que hacer es deshabilitarle al server esta funcion ok, Windows Server 2012 tiene predeterminadamente habilitada esta funcion y es por seguridad ok, prueba deshabilitando la funcion y me avisas si puedes navegar con el browser ok…

    Un Saludo… y gracias por escribir😉

    • XaviTux says :

      Que tal A-BAT.

      De antemano muchisisimas gracias por tomarte el tiempo. La verdad ya había hecho este paso, y sigo sin navegación. Siento que tengo algún problema de controlado de dominio. Ya que cuando conecto el servidor a otro enlace “hogareño” por llamarlo así….ahí si puedo navegar en Internet.
      .Obviamente pues cambia la configuración ip, dns etc…

      -Otra pruebe que hice, fue crear una maquina virtual con el mismo SO, y el resultado fue el mismo!!! (y eso que no le configure ningún servicio).
      😥

  11. arios says :

    Excelente aportacion….

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: